移动设备网安漏洞检测与企业数据外泄防护 智能应用 影音
D Book
繁体版 简体版
评估申请
快捷顾问
登入
231
EVmember
ADI
热门关键字
#联发科
#存储器
#半导体
#NB
#电动车
#面板
#AI
#台积电
#服务器
#AI PC

移动设备网安漏洞检测与企业数据外泄防护

  • DIGITIMES企划

资策会网安科技研究所检测技术中心经理洪光钧。
资策会网安科技研究所检测技术中心经理洪光钧。

移动设备的迅速普及,已经对网安防护形成相当程度的挑战。资策会网安科技研究所检测技术中心经理洪光钧指出,企业应该要积极针对移动设备进行网安检测,因为不管是手机或APP,其实都有网安漏洞,而因为移动设备已与生活与工作紧密结合,加上App的运用,让使用者应用愈来愈方便,许多人开始习惯将机密数据放在手机上,就可能会面临机敏数据外泄的问题。

此外,如Line及简讯诈骗的案例层出不穷,实务上也造成许多使用者的金钱损失。事实上,就算使用者小心谨慎,不管是iOS及Android,系统本身的漏洞也可能导致严重的网安议题。

洪光钧指出,移动设备的安全管理,最底层就是硬件安全。虽然手机本身在出厂前,业者都会进行厂测,但在测试过程中可能会因为疏忽,没有关掉或移除与厂测有关的软件,就可能会因此产生网安漏洞,如三星电子(Samsung)就曾发生类似的案例。

系统安全层面的问题,所有的手机操作系统其实都会遭遇,应用程序的安全问题,如移动银行、游戏也都有可能会发生。洪光钧特别指出应用与内容安全的问题,主要是指流程面的网安问题,如App的小额付费功能,就可能会有网安漏洞的疑虑。

洪光钧表示,就算App本身没有网安漏洞,但流程还是可能会有问题,如使用者在执行付款动作时,平台业者、运营商或银行都应该提醒使用者,正在使用小额付费功能,以免使用者在不知情的情况下蒙受损失,事实上,当手机在传送机敏信息时,一定要先告知使用者。

至于移动设备的网安检测方式,洪光钧指出,首先要先透过信息蒐集的方式,了解手机上面有哪些App,再透过App反组译等方式的静态分析,以及实际去执行App,看有无恶意问题或执行不当动作的动态分析来检测,如小米手机会爆发擅自上传使用者信息的事件,就是用这种方式可以得知。

在实际的检测案例方面,洪光钧指出,由于手机用途愈来愈广,消保处担心手机上是否会有损及消费者权益的功能,网安科技研究所特别进行了6个不同类型的检测,其中有关权限控管不当的检测结果,就容易造成数据泄漏的问题。

其实对使用者而言,最大的问题是无法发现网安问题,因为有一定程度的专业门槛,洪光钧指出,使用者只能随时保持警戒心,尽可能防止网安问题发生,如口令与重要数据尽量不要记录在手机上,以免数据遭到恶意人士窃取。

洪光钧更呼吁使用者,千万不下载与安装来路不明的App,一旦手机上的数据缺乏更严谨的保护措施,就可能会造成使用者数据外泄的疑虑。事实上,就连应用程序网络加密连线机制,也缺乏更严谨的验证机制。洪光钧表示,使用者如果是上假冒的网络银行,而当App也缺乏加密凭证检查机制时,使用者在使用时可能完全不知情。

移动设备的网安疑虑,也需要考量多变的应用环境如咖啡厅。此外,电池效能也影响手机的安全性发展,洪光钧指出,就算防毒软件成效100%,如果耗电量过大,手机业者还是会放弃使用,两者必须保持平衡。

洪光钧建议,移动设备应用软件在开发时,应强化网安设计,如识别风险来源,而且一旦有机敏数据正在传输中,一定要告知使用者。尤其在现在连军人都可以带手机上战场的时代,员工自行携带移动设备到公司办公的BYOD趋势也愈来愈明显,各个网安机构的报告也显示,移动设备正为企业网安管理带来严重的挑战。

洪光钧指出,许多企业本来有意推动BYOD,却因为担心移动设备对企业网安管理造成影响,最终因为企业的管理太过于严格,而让BYOD效益大幅减小。因此,员工如果想要在企业使用手机办公,可能要牺牲一些个人隐私问题,如在发生网安问题时,可能就得针对手机进行证据保全。洪光钧强调,公私之间当然会有冲突,但双方总有一方要让步。

智能手机的恶意程序,也是影响移动设备使用的原因,尤其是在非官方网络商店流窜的山寨版App,更是造成移动设备网安漏洞的主要因素之一。洪光钧指出,早在2011年,手机的殭屍网络概念就已然成形,现在更已经有具体案例增加的趋势。

值得注意的是,甚至有黑客会跟App设计者串通,使用者只要下载及使用App,就会中毒。目前更已有手机在被感染恶意程序时(不管是透过电脑感染或是透过App感染),一旦与电脑连线(如充电或同步),就会自动将电脑的重要数据传到手机上,再利用手机内建的通讯功能传送出去,可说是防不胜防。

因此,移动设备在企业的网安威胁与弱点,必须兼顾机密性、完整性及可用性。但洪光钧认为,最重要的一点是政策要明确,企业可以透过PDCA的管理思维,针对移动设备进行网安管理,如透过合规检查,规定手机可以使用哪些项目,同时透过存取授权,管控手机的使用权限。

除了企业内部的管理,洪光钧认为,企业对于手机本身,也要有管控能力,如手机遗失时,要有能力锁定或删除手机的数据。而对于未来移动设备管理的技术发展上,将会有越来越多重视多因素登入与生物识别的解决方案推出,用来协助多变的移动网安问题与威胁。

从设备管理发展到移动化的管理,信息长愈来愈辛苦,尤其是个资法通过后,更造成企业网安管理的责任,但在移动化趋势已然成形的今天,企业必须及早针对移动设备的网安管理进行检测,才能让移动力对企业竞争力产生助力,而非阻力。


关键字
加入已选取到「关键字追踪」 什麽是「关键字追踪」
商情专辑-网安日论坛专辑